Okta's NextJS-0auth troubles

Исследователь безопасности сообщил об уязвимости инъекции параметров OAuth в библиотеке auth0/nextjs-auth0 от Okta, которая позволяла злоумышленникам манипулировать токенами и URI перенаправления. Он предложил простой патч с кодированием параметра, но через три недели его PR закрыли, сославшись на другой, "подписанный" коммит. Оказалось, что оригинальный вклад исследователя был присвоен с использованием ИИ, который создал фиктивного автора "Simen A. W. Olsen" с несуществующим email.

Мейнтейнер признал использование ИИ для создания коммита и даже сгенерировал ИИ-ответ с извинениями, но отказался исправить атрибуцию, заявив, что "не может это изменить". Это привело к обвинениям в нарушении авторских прав. Параллельно первая уязвимость, позволявшая захватывать аккаунты, была исправлена только после трёхнедельного ожидания, а команда безопасности Okta заявила, что не примет отчёт об уязвимости без видеодемонстрации эксплуатации.

Комментарии (135)

Комментаторы обсуждают, что Okta и Auth0 не редко становятся объектом критики за игнорирование PR и отсутствие прозрачности в open-source-проектах.
Участники также отмечают, что крупные корпорации, включая Okta, плохо справляются с внешними вкладами и не предоставляют должного признания авторам вкладов.
Некоторые комментаторы поднимают вопрос о том, что использование SaaS-решений вроде Okta и Auth0 может быть рискованным, особенно если учесть их историю игнорирования уязвимостей и отсутствие прозрачности.
Также обсуждается, что GitHub и другие платформы могли бы улучшить свой процесс рассмотрения PR и взаимодействия с внешними вкладами, чтобы избежать подобных ситуаций в будущем.